1、1H3CS-IMC 题库汇总第一套1 、下列关于 iMC 平台组件工作原理的说明中,不正确的是A、平台主要通过 SNMP 协议报文与设备交互,读取网络设备上的状态信息B、ACLM 组件通过命令行获取设备状态信息,智能配置管理组件在某些情况下也需要命令行读取数据C、平台的报表组件是一个很特殊的组件,不需要与网络设备进行交互,而只需要读取数据库的数据D、iMC 平台采用 B/S 架构,通过浏览器访问管理界面,默认端口是 TCP 80( D )2、若要实现 802.1x EAD,关于接入交换机上的认证模式(RADIUS 的封装模式) ,以下说法错误的是: A. H3C 交换机在 CHAP 认证模式下
2、,使用标准 RADIUS 属性(EAP-Message)下发策略代理服务器的 IP 和端口,从而使得客户端主动与安全策略服务器之间建立通讯B. 第三方设备必须使用 EAP 中继的封装模式才能实现 EADC. H3C 交换机的缺省认证模式为 CHAP,通过命令行修改为 EAP 模式也能实现 EADD. 如果 iMC 服务器从微软域控制器上同步帐号信息,实现基于域统一认证方式的 EAD,则此时 H3C 交换机不能够使用 CHAP 认证模式封装 RADIUS 报文(A)3、关于 802.1x EAD 在服务器上的基本配置顺序,可以按照以下顺序配置: A. 接入设备服务 具体的安全检查项安全策略安全级
3、别账户 B. 接入设备服务 账户具体的安全检查项安全级别安全策略 C. 接入设备具体的安全检查项安全级别安全策略服务账户D. 接入设备安全级别安全策略服务 具体的安全检查项账户(C )4、在 H3C 交换机上关于认证域的应用,以下说法错误的是: A. 如果客户端不带域名认证,则交换机将为该帐号应用缺省的认证域B. 在 CHAP/PAP 认证方式下,如果客户端不带域名认证,交换机上的用户名格式配置为2with-domain,则服务器上该帐号一定要关联一个服务后缀为空的服务C. 在 CHAP/PAP 认证方式下,如果客户端带域名认证,交换机上的用户名格式配置为 with-domain,则服务器上该
4、帐号一定要关联一个服务后缀与交换机上的 domain 名称一致的服务D. radius scheme(认证方案)的名称只在交换机上具有本地意义,与服务器上的配置无关( B )5、关于 Portal 认证,以下说法中错误的是: A. Portal 认证方式没有 802.1x 认证方式控制严格,但 Portal 认证支持免客户端安装(网页认证) ,并且实施简单,适合用于旧网改造B. 二层 Portal 模式下,Portal 设备以认证终端的 IP 和 MAC 地址来唯一标识一个在线用户,而三层 Portal 模式下,Portal 设备以认证终端的 IP 地址唯一标识一个在线用户 C. 使能 Por
5、tal 的物理接口或 VLAN 虚接口仅对入方向的报文做控制D. Portal 协议是一种公有的标准认证协议,协议报文基于 UDP( D )6、关于 Portal Free rule 的应用,以下说法错误的是: A. Portal free rule 在设备全局模式下配置,可配置多条B. Portal 认证的过程要求 Portal 服务器与 Portal 设备间通讯正常,在特定组网环境下,必须配置 free rule 来允许 Portal 服务器与 Portal 设备的通讯C. 如果要支持在网页中输入域名也能重定向至 Portal 认证页面,则必须在 Portal 设备上配置一条 Free 规
6、则,允许认证终端访问 DNS 服务器的地址D. Portal 认证的前提是认证终端必须和 Portal 服务器通讯正常。而使能 Portal 之后,认证终端缺省情况下不能与 Portal 服务器通讯,必须要在 Portal 设备上配置 free rule 允许认证终端与 Portal 服务器通讯( )需确认7、某用户关联的安全策略中配置了向设备下发的隔离 ACL 和安全 ACL,该安全策略及其所引用的安全级别配置为:防病毒软件检查采用隔离模式,其他所有检查项都采用提醒模式(VIP 模式) ,并且未配置“不安全提示阈值” 。假设该用户的安全检查结果为防病毒软件检查不合格,而其他检查项都合格,则用
7、户登陆过程中,关于基于设备的 ACL 下发过程,描述正确的是: A. 只下发隔离 ACL,不下发安全 ACLB. 先下发安全 ACL,后下发隔离 ACLC. 只下发安全 ACL,不下发隔离 ACLD. 先下发隔离 ACL,后下发安全 ACL3( A )8、以下关于 sFlow 日志和 NetStream 日志的区别的描述错误的有A、sFlow 日志通常将功能内嵌在硬件芯片中,对设备影响小,而 NetStream 通常由设备软件实现,大流量时可能影响设备性能B、目前 H3C 只有部分交换机支持 sFlow 技术,而 NetStream 技术则被广泛的应用于路由器设备或交换机中C、sFlow 日志
8、是一种采样日志,而 NetStream 不支持采样D、sFlow 日志的报文格式相对固定,NetStream V9 格式灵活,易于扩展(BC )9、EAD 安全接入四步曲分别是:身份认证、安全检查、动态授权和实时监控。其中实时监控功能确保了用户在线过程中仍然符合安全策略的要求。假设某用户关联的安全策略中配置了禁止运行某非法软件,安全级别中可控软件组检查采用隔离模式,并且该用户上线时已经成功通过所有安全检查项。关于实时监控功能以下说法错误的是: A. 实时监控功能缺省不启用,需要手工启用B. 当发现用户在线过程中运行了非法软件,则会实时地将用户隔离C. 如果用户在线,并且已经被隔离的情况下,这之
9、后用户又关闭了非法软件修复了所有的安全隐患,则会被自动地实时解除隔离D. 实时监控功能依赖于 EAD 心跳报文,客户端通过 EAD 心跳将终端的安全状态实时地上报给服务器 ( C)10、桌面资产管理客户端重新获取桌面资产管理服务器的新策略的方式不包括下面哪种方式:A. 等待资产策略请求间隔时长B. 下线后立即重新上线C. 下线后等待资产管理客户端与服务器心跳超时后再上线D. 直接在认证终端的 Windows 任务管理器中杀掉 DAMAgent 进程( B )11、关于逃生工具,以下描述正确的是A.逃生工具可以从 H3C 网站上下载B.逃生工具支持 802.1x 认证方式和 Portal 认证方
10、式C.逃生工具仅检测用户名和密码,不做授权、绑定的判断,也不做安全检查D.逃生工具仅支持在 Windows 操作系统下安装4( A)12、在项目环境中,为了保护服务器一般需要对重要的业务服务器进行安全防护,通过关闭端口防止服务器受到恶意攻击。iMC 服务器在运行过程中,不需要开放的端口有A 需要使用网管功能的环境下,需要开放 SNMP 端口 UDP 161,162B 如果要使用 ACLM 管理设备的 ACL,需要开放 telnet 端口 TCP 23 或 SSH 端口 TCP 22C 在需要进行接入认证的情况下,还需要开放 RADIUS 端口 UDP 1812,1813D 如果有 EAD 认证
11、需求,需要放开策略代理服务器监听端口 TCP 9019(D)13、下列关于 iMC 安装环境要求,说法正确的是A 只要 LINUX 内核版本一致,iMC 可以在各种 LINUX 发行版本上安装,如 LINUX Redhat Enterprise LINUX,CENTOS,UBuntu 等B 如果现场实在找不到符合要求的操作系统,也可以在 Windows 7 或者 XP 上安装专业版 iMC C 使用内嵌数据库时要注意,因为内嵌数据库的数据文件大小受到限制,可能会影响到服务器的性能D 浏览器要求使用 IE 或 Firefox,但是对于其他一些 IE 内核的浏览器,如 360,世界之窗,MyIE
12、等,也完全可以正常访问 iMC( )14、关于防内网外联功能,以下描述错误的是: A. 防内网外联功能支持 802.1x 和 Portal 认证方式B. 防内网外联特性属于 UAM 功能,跟用户是否使用 EAD 安全策略无关C.需在定制 iNode 客户端时选择“防内网外联”功能才能让 iNode 具备防内网外联特性D. 要限制用户必须使用防内网外联功能,则在配置“服务”时必须勾选“仅限 iNode 客户端”和“启用防内网外联”(B )15、在 Portal 认证中,服务器上需要分别配置接入设备和 Portal 设备 IP 地址。在如下组网中,在 BAS 设备(H3C V5 平台设备)上开启
13、Portal 认证,为了让图中所示客户端机器认证,Portal 设备地址应该配置为5A 端口所属的三层接口地址B 端口所属的三层接口地址C 端口所属的三层接口地址D 端口所属的三层接口地址E 端口所属的三层接口地址()16、认证时客户端提示“Rejected by Local Server” ,可能原因为A 用户密码输入错误,可能是大小写开关被打开或者全角半角标点状态有问题B 交换机上未配置默认域,即 domain default enable xxx 命令C 交换机上未配置认证模式为 EAP,导致 EAP 消息被用户丢弃D 服务器接入设备地址配置错误,应该配置接入设备上离服务器最近的接口地址
14、( B )17、H3C IMC UBA 支持采集分析 NAT 日志,通过采集分析 NAT 日志,可以分析出来的内容包括( )A、目的端口号B、协议号C、NAT 前 IP 地址D、NAT 后 IP 地址E、目的 IP 地址6F、NAT 前端口号G、NAT 后端口号H、源端口号ABCDEFG18、以下对于可控软件组检查的描述错误的是: A. 可控软件组可以对软件安装、软件运行以及 Windows 服务运行进行监控B. 当可控软件组的策略是允许类型时,只要可控软件组中有一项检查通过则认为可控软件组检查通过C. 当可控软件组的策略是禁止类型时,只要可控软件组中有一项检查不通过则认为可控软件组检查不通过
15、D. 当可控软件组的策略是允许类型时,可控软件组中的所有检查项必须都通过才认为可控软件组检查通过(D)19、以下哪项不是 Windows 双机热备环境中必须包含的组成A.共享存储B.域控制器C.DHCP 服务器D.DNS 服务器( C )20、关于实现 802.1x 方式的 EAD,在 H3C 交换机上的配置(PAP/CHAP 认证方式) ,以下说法错误的是:A. 认证方案中的服务类型必须配置为扩展B. 在不需要计费的环境中,建议将 RADIUS 计费结束和计费更新报文的重发次数改小C. V5 设备在认证域中必须分别配置认证、计费和授权三条命令引用之前已配置的认证方案D. 计费是可选的,可以只
16、配置认证不配置计费( D )21、关于 iMC 平台版本的特性,以下说法正确的是: A. 只有标准版才支持 Linux 操作系统B. 标准版内嵌了免费的 SQL Server Express C. 专业版内嵌了免费的 SQL Server ExpressD. iMC 平台版本分为标准版、专业版和中小企业版三个版本( BD )722、以下关于 iMC 安装和部署的说法正确的是: A . iMC 中“安装”和“部署”是两个概念, “安装”只是将安装文件拷贝到一个指定的目录为后继的部署做准备,而“部署”会执行真正意义上的程序安装,并执行数据库创建等操作B. iMC 支持集中式部署和分布式部署。如果采
17、用分布式部署,则步骤是先将预计分布式部署的组件在从服务器上完成“安装” ,然后在从服务器上完成“部署”C. 分布式安装的环境下,主服务器和从服务器上都需要安装数据库D. 必须部署 IMC 平台之后,才可以部署其他业务组件,( ACD )23、与 V5 版本的设备配合,在服务器上配置 Portal 认证时,需要指定两个地址,一个是RADIUS 接入设备的地址,另一个是 Portal 设备的地址。对于这两个地址,以下说法正确的是: A. 服务器上的 Portal 设备的地址必须配置为设备上离服务器最近的地址B. 在接入设备上没有指定发送 RADIUS 的源地址的情况下,服务器上的 RADIUS 接
18、入设备的地址必须配置为设备上离服务器最近的地址C. 服务器上的 Portal 设备的地址必须配置为设备上使能 Portal 认证的接口地址D. 在接入设备上没有指定发送 RADIUS 的源地址的情况下,服务器上的 RADIUS 接入设备的地址必须配置为设备上使能 Portal 认证的接口地址( )24、iNode 客户端管理中心可以定制客户端安装文件中包含哪些功能以及指定一些缺省参数,以下哪些功能必须通过 iNode 客户端管理中心定制时勾选才能够使用: A. 基于客户端的 ACL 下发B. Portal 可溶解客户端C. 防内网外联D. 密码卸载(ACD)25、关于 UAM/EAD 组件的安
19、装,以下说法正确的是: A. UAM 组件的安装包中包含了 Portal 的安装文件B. EAD 组件的安装包中包含了 DAM(桌面资产管理)的安装文件C. 策略服务器模块包含在 EAD 组件安装包中,只有安装了 EAD 组件才能使用策略服务器D. 在接入用户数量大的情况下,一般推荐将 UAM/EAD 的后台程序分布式部署( ABD)826、关于 802.1x 认证,以下说法错误的是: A. 认证终端必须能够与 AAA 服务器正常通讯才能身份认证成功B. H3C 交换机缺省是基于端口的认证 C. 启用 802.1x 认证的接入设备与 iMC 服务器之间交互的是 EAP 报文D. H3C 交换机
20、支持 pap/chap/eap 三种 802.1x 认证方式( ABC)27、安全检查是客户端直接与服务器通讯完成的,一个完整的安全检查流程包含了四个交互报文。关于安全检查,以下说法正确的是: A. 安全检查由客户端主动发起,目的端口为 UDP 9019B. 安全检查由服务器主动发起,目的端口为 UDP 9029C. 如果在配置台上将策略服务器禁用,则客户端不会发起安全检查请求D. 如果认证的账号不使用安全策略(即只身份认证) ,则客户端不会发起安全检查请求(AC )28、EAD 处理流程中,关于向设备下发的 ACL,以下说法正确的是: A. 隔离 ACL 通过私有 RADIUS 报文下发,安
21、全 ACL 通过标准 RADIUS 报文下发B. 隔离 ACL 通过标准 RADIUS 报文下发,安全 ACL 通过私有 RADIUS 报文下发C. 隔离 ACL 和安全 ACL 都通过私有 RADIUS 报文下发D. 当安全级别中配置了“不安全提示阈值”后,则服务器会先下发安全 ACL(BD )29、目前 EAD 安全检查所支持的安全检查项包括有: A. 终端安全软件检查B. 操作系统补丁检查C. 可控软件组检查D. 客户端流量检查E. 操作系统弱密码检查F. 注册表检查(ABCDEF)30、EAD 解决方案与第三方设备配合时,无法通过向设备下发 ACL 来创建隔离区和安全区。为了使得不安全
22、的终端可以在一定的限制条件下访问网络资源用于主机的修复,从技术上可以考虑使用以下哪些方式来实现: A. 使用基于客户端的 ACL 下发B. 使用 VLAN 下发9C. 使用 Guest VLAND. 使用下线模式加“不安全提示阈值”的方式(ACD )31、以下关于 DBMAN 双机备份的描述正确的是:A. DBMAN 定期将 iMC 主机的数据库备份通过 ftp put 的方式上传到 iMC 备机B. 备用服务器会通过心跳机制检测主服务器是否故障并在主服务器故障时主动接管认证业务C. dbman 进程会在安装 iMC PLAT 时自动安装部署D. 需要在主备服务器上完成 DBMAN 双机备份的
23、配置( ACD )32、桌面资产管理中的软件分发功能支持哪些方式的分发: A. FTPB. HTTPC. TFTP D. 共享目录(ABD)33、关于基于客户端的 ACL 下发,以下描述正确的是: A. 如果要使用客户端 ACL 功能,则终端必须安装 iNode PC 客户端。iNode DC 与网页认证无法与 EAD 服务器配置实现客户端 ACL 功能B. 如果使用管理中心定制客户端时选择了客户端 ACL 功能,而服务器上没有配置基于客户端的 ACL 下发,则客户端会被强制下线C. 如果使用管理中心定制客户端时没有选择客户端 ACL 功能,而服务器上配置了基于客户端的 ACL 下发,则客户端
24、会被强制下线D. 客户端的 ACL 功能可以用于 802.1x、Portal、L2tp 三种 EAD 场景(AC)34、关于混合组网特性的描述,以下正确的有: A. 使用混合组网特性维持在线用户列表和传统的使用 RADIUS 计费报文维持在线用户列表的机制相比,混合组网特性维持在线用户列表更加可靠,所以应该优选使用混合组网特性B. 启用混合组网特性后,UAM 后台将不再根据 RADIUS 计费报文来创建和删除在线用户列表,而是改用安全认证/心跳/下线报文来维持在线用户列表C. 该特性基于设备实现,同一台设备上接入的所有用户要么都启用混合组网特性,要么都不启用10D. 混合组网特性仅限 802.
25、1x 认证方式(BCD)35、关于三种服务器容灾方案的对比,说法正确的是: A. 逃生工具、DBMAN 双机备份和双机热备都能够保证故障时在线用户不掉线B. DBMAN 备份和双机热备相比,能够提供独立的两套认证系统,可以解决服务器侧所有的软硬件故障C. windows 双机热备组网中需要包含共享存储设备和 AD/DNS 服务器D. 双机热备支持 Portal 认证方式(BCD)36、下列关于 LDAP 认证的说法中,正确的是A、LDAP 认证时交换机不能配置为 CHAP 认证模式B、只需安装 iMC 平台就可以进行 LDAP 认证C、IMC 与 AD 服务器进行 LDAP 认证时,认证用户的
26、账号密码信息都保存在 AD 服务器上D、只有 802.1X 认证时才能进行 LDAP 认证,Portal 认证只能使用本地用户密码(A C)37、将一台 H3C 交换机添加到 iMC 以后,在设备详细信息发现如下情况,以下说法正确的是A. 可能设备上未配置 SNMP 协议参数,或者 iMC 上的 SNMP 参数与设备不一致B. 可能是设备到网管之间的 SNMP 端口被防火墙或者 ACL 屏蔽C. 可能设备型号 iMC 不支持D. 可能是设备上未添加 telnet 访问权限( AB )38、Portal 认证体系可以分为四个组成部分,分别是A、fr 认证客户端B、认证服务器C、策略服务器D、Portal 服务器E、认证设备
